S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Un coutelier condamné pour les meurtres qu'il n'a pas anticipés

"Comme en Chine" (Jacques)

Une personne avait diffusé sur le site web de sa société spécialisée en conseil en sécurité informatique, des informations sur une faille Microsoft. Parallèlement, il contactait ce dernier pour lui informer de sa découverte, démarche qui fut remerciée par l’éditeur. Des faits vus et revus, ici comme ailleurs. Sauf qu’en France, une telle diffusion est interdite depuis 2004. Démonstration avec cet arrêt de la Cour de cassation du 27 octobre 2009.

cerveau tete

Le tort de cet internaute fut de diffuser informations touchant Windows Metafile (WMF), quelques jours avant la publication du correctif par Microsoft, le 5 janvier 2006, nous précise 01net.

Après enquête du parquet et de la DST, pas moins, l’affaire est portée devant la justice. En première instance, le tribunal correctionnel relaxe cependant le prévenu du chef de « mise à disposition, sans motif légitime, de moyens conçus ou spécialement adaptés pour commettre une atteinte à un système de traitement automatisé de données ». Une infraction que connaît notre droit depuis 2004.

L'information, le full disclosure et la sécurité

Les explications du gérant auront été utiles lors du premier stade : il n’incitait en « aucune façon à l'utilisation de ces codes à des fins malveillantes ou de piratage informatique », la seule intention qui l’anima fut le « souci d'information des menaces existantes non corrigées à destination des utilisateurs de programmes informatiques ». Une pratique largement suivie par quantité de sites spécialisés, et des forums de discussion, accessibles en un clic via Google.

Savoir anticiper les risques éventuels

Frustré, le ministère public fait appel. En mars 2009, la cour de Montpellier condamne finalement le gérant.

Sourd à sa volonté d’informer le public, elle estime que le prévenu « du fait de son expertise en la matière, savait qu'il diffusait des informations présentant un risque d'utilisation à des fins de piratage par un public particulier en recherche de ce type de déviance ». De fait, par ses compétences, notre gérant aurait donc dû anticiper ces mauvaises utilisations. Un peu comme si le fabricant de couteaux devait deviner les multiples usages de ses lames tranchantes : découpe de poisson, de steak, ou de carotide.

Mécaniquement, c’est son statut de « sachant » qui l’a piégé. Sèches conclusions : seul un ignorant aurait pu diffuser ces larges informations, mais le pouvait-il...?

La Cour de cassation sanctionne les informations à double tranchant

L’affaire montait encore d’un cran pour être portée devant la Cour de cassation à la demande de cet internaute « coupable » de full disclosure. Celui-ci explique que la justice aurait dû sonder sa démarche, puisqu’il « n'y a point de délit sans intention de le commettre ». Elle aurait dû rechercher par exemple si la diffusion « n'avait pas été seulement animée de l'intention de remédier à une insécurité informatique ».

Mais pour la juridiction suprême, la cour d’appel n’a commis aucune erreur de droit : les données diffusées sur le site étaient directement visibles et accessibles à tous, permettant « d'exploiter des failles de sécurité informatique ». Ainsi, répéta-t-elle, « du fait de son expertise en la matière [le gérant] savait qu'il diffusait des informations présentant un risque d'utilisation à des fins de piratage par un public particulier en recherche de ce type de déviance ». Nous reviendrons un peu plus bas, sur cette notion de « savoir. »

L'intention délictuelle se devine dans l'acte matériel

Dans un « attendu » de principe, la Cour de cassation explique sereinement que « dès lors que la constatation de la violation, sans motif légitime et en connaissance de cause, de l'une des interdictions prévues par l'article 323-3-1 du code pénal implique de la part de son auteur l'intention coupable exigée par l'article 121-3 du même code, la cour d'appel a justifié sa décision ».

Décodons.

L’article 121-3 du Code pénal dit « qu’Il n'y a point de crime ou de délit sans intention de le commettre ». En clair : pour qu’une personne soit condamnée pour un délit, il faut par défaut, démontrer son intention de commettre cette infraction. En d’autres termes, la seule démonstration d’un acte matériel constitutif d’un délit n’est pas suffisante.

L’article 323-3-1, fruit de la loi de 2004 sur la confiance dans l’économie numérique, crée un délit. Il dit que :

« Le fait, sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 [ndlr : piratage d’un système informatique au sens large] est puni des peines prévues respectivement pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée ».
 
Très critiqué à l’époque, ce texte interdit donc la simple détention et la diffusion d’informations (logiciel, équipement, donnée, etc.) qui permettent d’accéder ou d’entraver le fonctionnement d’un système informatique. Sauf motif légitime.

Comment démontrer l’intention de commettre un délit lorsqu’on condamne le simple fait de détenir ou diffuser une information ? Pour la Cour de cassation, tout va très vite : la simple détention ou diffusion « sans motif légitime et en connaissance de cause » suffit à elle seule à justifier l’intention coupable. L’acte et l’intention sont intimement soudés. Conclusion : il suffit que la justice constate qu’un internaute diffuse une donnée qui, dans de mauvaises mains, permettrait un piratage informatique, suffit à caractériser l’intention délictuelle.

Cette sèche conclusion est imposée - nous le disions - par la loi de 2004, elle-même fruit de la Convention sur la cybercriminalité du le Conseil de l'Europe. Ici, le gérant aura été finalement condamné à 1000 euros d’amende. Mais les juges ont fait preuve d’une certaine mansuétude puisqu’ils auraient pu opter pour des dizaines de milliers d’euros d’amende et/ou des années d’emprisonnement.

La quête impossible du motif légitime

Mais avec cet arrêt, on se demande encore et toujours ce qu’est véritablement le « motif légitime » qui peut excuser l’infraction.

« Qu'est ce qu'un « motif légitime » ? Ce qui n'est pas « illégitime » certainement. Et nous ne sommes pas plus avancés » expliquait à l’époque le très éclairé site Eucd.info. Et pour cause : l’article en question opère un renversement de la charge de la preuve. Avec cette trousse à outils juridiques, continuait Eucd.info, le ministère public « n'a plus à démontrer que vous vous êtes introduit frauduleusement dans un système de traitement automatisé de données, ou que vous avez aidé intentionnellement un tiers à le faire. Il doit simplement apporter la preuve d'une détention de moyens « spécialement adaptés ». À vous ensuite de démontrer l'existence d'un « motif légitime ». La belle affaire. Savoir devient faire. La détention à domicile d'une tronçonneuse et d'un manuel de close-combat fait risquer coups et blessures ».
Marc Rees

Journaliste, rédacteur en chef

Publiée le 22/12/2009 à 10:30

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 166 commentaires

Avatar de corsebou INpactien
corsebou Le mardi 22 décembre 2009 à 10:38:01
Inscrit le mardi 11 avril 06 - 2959 commentaires
De toute facons on le sait que c'est un système totalement rempli de virus...
Pourquoi chercher a prouver les failles?


Aller en prison ces racailles, on a pas besoins de ces informaticiens responsables en france, on a déja des politiciens spécialistes!!
Avatar de june INpactien
june Le mardi 22 décembre 2009 à 10:38:07
Inscrit le mardi 11 février 03 - 2311 commentaires
Le gars travaille pour une boite de sécurité et pond une 0-day ?
Si c'est le cas, je trouverais normal qu'au moins sa société le vire pour faute grave. S'il est patron de ladite société, cela ne me choque pas que la justice s'en mêle.

Normalement, une société de sécurité fournit un délai raisonnable à l'éditeur pour que celui-ci ait le temps de publier un patch avant de tout dévoiler.
Avatar de Norec INpactien
Norec Le mardi 22 décembre 2009 à 10:39:04
Inscrit le mardi 30 juin 09 - 308 commentaires
Aidez les gens, la justice vous le rendra -_-.


Un peu comme si le fabricant de couteaux devait deviner les multiples usages de ses lames tranchantes : découpe de poisson, de steak, ou de carotide.

N'oublions pas de condamner les multiples constructeur de voiture à cause de qui il y a un nombre important de mort chaque année...
Et aussi les constructeurs et assembleurs d'ordinateur qui permettent le téléchargement illégal de masse.
Avatar de 127.0.0.1 INpactien
127.0.0.1 Le mardi 22 décembre 2009 à 10:39:08
Inscrit le mercredi 29 avril 09 - 13212 commentaires
Baissez les yeux, braves gens, si vous voyez un danger menacer d'autres personnes. La stratégie de l'autruche est la seule réponse possible à l'insécurité. Vive la république. Vive la France.

(fondu sur le drapeau français flottant au vent. Début de la marseillaise)
Avatar de DarKCallistO INpactien
DarKCallistO Le mardi 22 décembre 2009 à 10:42:27
Inscrit le mardi 11 décembre 07 - 14203 commentaires
Baissez les yeux, braves gens, si vous voyez un danger menacer d'autres personnes. La stratégie de l'autruche est la seule réponse possible à l'insécurité. Vive la république. Vive la France.

(fondu sur le drapeau français flottant au vent. Début de la marseillaise)


Non assistance a personne en danger, tu va prendre sévère mon gaillard. baton.gif

Il y a 166 commentaires

;